Angekündigte Änderungen
Bitte beachten Sie die folgenden angekündigten Änderungen.
Verkürzung der Laufzeiten von neuen Server-Zertifikaten
Suzkessive werden die Laufzeiten neu ausgestellter Zertifikate wie folgt verkürzt:
- Umstellung im Zeitraum 9.-13.3.2026: 199 Tage,
- ab 15.3.2027: max. 100 Tage,
- ab 15.3.2029: max. 47 Tage.
Wegfall der OCSP-URL in neuen Server-Zertifikaten
Ab 2.3.2026 neu ausgestellte Server-Zertifikate werden keine OCSP-URL mehr enthalten.
Das ist relevant für Server, die mit OCSP-Stapling konfiguriert sind, sowie für Dienste, die den Sperrstatus von Server-Zertifikaten mittels OCSP abfragen, etwa bei einem für Client-Authentisierung genutzten Server-Zertifikat.
Wegfall der extendedkeyUsage (EKU) clientAuth in neuen Server-Zertifikaten
Ab ca. März 2027 (ursprünglich angekündigt bereits für 6.4.2026) wird es keine neu ausgestellten Server-Zertifikate mehr geben, die neben der EKU serverAuth gleichzeitig auch noch clientAuth enthalten.
Damit können diese Server-Zertifikate nicht mehr zum Authentisieren (via TLS clientAuth) an anderen Server-Diensten genutzt werden (mutual TLS).
Betroffen sind u.a. LDAP- und SMTP-Server, die für eine Server-zu-Server-Kommunikation gerne mal eine beidseitige Authentisierung von Server und Client implementieren. Prüfen Sie bei komplexeren Einsatzszenarien, ob Ihr konkretes Software-Produkt im eingesetzten Server-Zertifikat die EKU clientAuth voraussetzt.
Über HARICA ist aktuell (01/2026) kein kostenloser Bezug von Zertifikaten für Client-Auth möglich (weder für User- noch für Machine-Auth).
Der DFN empfiehlt, Zertifikate der DFN-Verein Community-PKI oder einer internen PKI zur Client-Authentisierung zu verwenden.
Referenzen
https://wiki.geant.org/spaces/TCSNT/pages/1298399252/HARICA+TCS+Updates
Teile des Textes dieses Dokuments wurden einer Mail der DFN-PKI vom 9.1.2026 entnommen.